企業內部控制存在的主要問題及應對措施

郭麗英

(立信會計師事務所(特殊普通合伙)北京分所，北京 100039)

內部控制，可以說是既古老，又年輕。古老是因為早在公元前3000多年以前，內部控制的思想就已經在人們的日常經濟生活中得到了運用；年輕是因為經過人類歷史的漫長發展，現代內部控制作為一個完整的概念，于20世紀40年代由美國注冊會計師協會首次提出。在當今發展的新形勢下，只有重視企業的內部控制，才能防范企業經營風險的發生，從而保證企業健康可持續發展。

一、內部控制概述

內部控制是企業安身立命的規矩。任何一個企業的活動都不可能脫離于內部控制之外。

1.內部控制的含義

內部控制是指企業為了實現經營發展戰略目標，保證企業資產的安全性和完整性、財務會計信息資料的真實性和可靠性，由企業各層級人員所實施的各種管理措施和手段。通過控制措施和手段，使企業依法合規經營，并逐步提高經營效率和效果。現代企業內部控制的概念最先由美國于1992年提出，我國研究內部控制的起步較晚，在借鑒國際先進經驗和結合我國企業內部控制發展的實際情況，財政部等部門于2008年頒布了企業內部控制基本規范，并對內部控制的含義作出了全新的闡釋。

2.內部控制的要素

內部控制并不是單一方面的內容，而是由幾個部分共同組成，主要包括內部控制環境、風險評估、控制活動、信息與溝通，以及內部監控五個方面。

(1)內部控制環境，是企業內部控制的基礎部分，是指企業內部控制的管理哲學和經營風格，是企業從上至下所形成的一種內控管理意識和氛圍。內部控制環境包括企業組織架構、人力資源、組織文化等。

(2)風險評估，是實施內部控制的重要一環，是指通過識別、分析等程序，與企業設定的目標進行比較，進而評價偏離目標的程度并采取應對策略的過程。

(3)控制活動，是企業內部控制的核心，貫穿于企業的所有層級和職能部門；是指企業在進行風險評估之后，基于風險評估結果而制定的有關職責分工、授權審批、財產保護、信息系統、績效考評控制等方面的風險防范措施和程序。

(4)信息與溝通，信息是指員工和計算機能夠辨識、衡量、處理和報告的一種資源。信息來源于企業內部或外部，內部信息包括企業的生產經營、財務會計、綜合管理信息等；外部信息包括政策法規、經濟形勢、市場競爭、行業動態等。溝通是指為了一個設定的目標，將信息和思想等在個人或群體間傳遞，并且達成共同協議的過程。溝通根據信息來源的不同，分為內部溝通和外部溝通。

(5)內部監控，又稱內部監督，是指企業通過開展持續性監督檢查和專項監督檢查，來發現企業內部控制管理過程中的缺陷和漏洞，從而提出優化和改進建議。

3.內部控制的原則

由于企業內部控制是一項龐大而又系統的工程，任何一個企業都不可能不惜一切代價只去做內部控制一件事情。再加上內部控制固有的一些局限性，企業建立與實施內部控制需要遵循如下幾項原則。

(1)全面性原則。即內部控制在層次上，涵蓋企業治理層、管理層和基層員工；在對象上，覆蓋企業各項經濟業務活動和綜合管理活動；在業務流程上，體現在事前決策、事中執行、事后監督等各個環節。設計內部控制時，遵循全面性原則，可以避免內部控制出現空白和漏洞。

(2)重要性原則。是指在企業內部控制活動中，能夠對公司經濟業務或事項起決定性影響、并產生重大風險的控制活動。企業在確定重要性標準時，可從定性和定量指標兩方面進行考慮。

(3)制衡性原則。是指一項完整的經濟業務活動需由互相制約關系的兩個或兩個以上的職位人員，分別完成，以降低人為錯誤或串通舞弊的行為發生。

(4)適應性原則。是指內部控制必須符合企業管理者的要求，并對其經營管理有用；企業要根據國家的有關要求，結合自身經營目標、規模大小、人員結構等特點，以及內外部環境的實際情況，因地制宜地設計企業內部控制。同時，要隨著環境的變化和經營管理要求等不斷改進和完善。

(5)成本效益原則。是指企業為進行內部控制而花費的成本與缺乏控制時所遭受的損失相比，當控制的效益大于成本時，該控制措施是可行的，否則不可行。企業的內部控制要力爭以最小的控制成本取得最好的控制效果。

二、企業內部控制的重要性

企業內部控制的重要性，從宏觀方面來講，有助于促進企業戰略目標的實現，有助于合理保證企業經營管理合法合規；從微觀方面來講，可以提高公司經營效率和效果，保障公司資產安全完整，以及財務報告信息真實可靠。

1.有助于促進企業戰略目標實現

每個企業成立之初，或大或小均會設定一個戰略目標。而對于一個擁有良好內部控制的企業，其經營狀況平穩運行，財務狀況良性增長，經營風險和財務風險可控在控，一切按照公司既定的目標不斷發展壯大，從而促使企業戰略目標早日實現。而在內部控制不健全的企業中，往往其經營發展不穩定，財務狀況時好時壞，經營風險和財務風險忽高忽低，戰略目標隨著經營狀況的變化而不斷調整，致使企業戰略目標遲遲不能實現。

2.合理保證企業經營管理合法合規

近年來，我國有關政府部門陸續頒布了多項與內部控制相關文件并要求率先在上市公司執行，進而逐步擴大到中央企業執行。從2008年《企業內部控制基本規范》的發布，至2010年《企業內部控制配套指引》的印發，再到2012年《關于加快構建中央企業內部控制體系有關事項的通知》，以及2019年《關于加強中央企業內部控制體系建設與監督工作的實施意見》等一系列要求，足以可見，我國對企業內部控制建設、實施和監督工作的重視程度。因此，只有按照國家規定，結合企業自身實際情況，及時建立全面、制衡、適應的內部控制體系，并有效實施，才能合理保證企業經營管理合法合規，并實現“強內控、防風險、促合規”的管控目標。

3.提高公司經營效率和效果

完善的內部控制體系，是企業提升經營效率、提高經營效果和防范經營風險的重要保障。縱觀我國現代企業的發展，從最初的完全手工化控制，發展到現如今的信息化控制，不僅減少了人為操縱因素，而且極大地提高了企業經營管理效率，實現了企業規范、穩健、高效的發展。隨著經濟全球化的發展，只有不斷提高公司經營效率和效果，才能為企業創造出更多財富，才能使企業傲立群雄、經久不衰。

4.保障公司資產安全完整

資產是構成企業生存和發展的物質基礎，也是企業經營成果的體現；眾多經營管理實踐證明，只有建立健全有效的內部控制并付諸實施，才是解決公司資產安全完整問題的根本之道。企業為了實現資產的安全完整，通過實施一系列限制接觸、清查盤點、交接記錄等財產保護控制活動，來確保資產不被侵占和挪用。亦或同時，為實物資產進行投保，以保障公司資產受損后得到補償，將資產損失降到最低，從而確保實物資產的安全。

5.保證財務報告信息真實可靠

在企業經營管理過程中，通過設立有效的內部控制環境、建立并嚴格落實職責分離、授權控制、預算控制、會計系統和信息系統控制等活動，可使企業相關人員和財務工作規范化；有效防范無意的或有意的錯誤和舞弊，防止出現有意或被迫篡改原始憑證、記賬憑證、編制虛假財務報表和報告的現象；有效解決會計信息失真、提高會計信息質量，從而確保財務報告信息的真實性和可靠性。

三、企業內部控制存在的不足之處

2008年至2010年之間，我國財政部等部門先后頒布了《企業內部控制基本規范》及其配套指引，意味著我國企業內部控制規范體系已初步建成。我國率先在上市公司和中央企業相繼啟動的內部控制建設與實施工作，已經在一些企業中執行得比較到位，并取得了較為顯著的效果。但總體而言，我國企業的內部控制還是比較薄弱，存在著一些不足之處，具體表現為如下問題。

1.對內控管理認識不足，缺乏內控管理的企業文化

企業文化又稱組織文化，是企業在長期的經營實踐中形成的思想價值觀、處事方式方法等。具有良好組織文化的企業，上下擰成一股繩，勁兒往一處使，企業內控管理水平蒸蒸日上。而在一些缺乏組織文化的企業中，上至領導，下至員工，均存在對內控管理認識不足的現象，認為建立與實施內控管理是一種束手束腳的行為，無人牽頭組織落實；還有的企業認為內部控制只是財務部的會計控制，與企業其他部門無關；嚴重缺乏內控管理的企業文化。

2.未設立專職的風險管理機構，風險評估工作不到位

在一些國家產業政策扶持的企業中，即使連年虧損，也會享有國家補貼，其認為不會存在風險，無需設立風險管理委員會、風險管理部門，更無需進行風險評估工作；認為開展企業風險評估就是在浪費時間、浪費人力和財力。還有的企業在進行風險評估時由內審部門開展，內審部門結合內部審計發現的問題，抓出幾個問題直接列為風險點，就算完成了風險評估，未嚴格按照風險目標設立、識別、評估、應對的評估流程組織開展工作，風險評估工作極其不到位。

3.未實行信息化管理，內部控制活動人為主觀因素較多

隨著電子信息技術的發展，企業利用計算機從事經營管理越來越普遍，但是在一些中小型企業中，只是在會計核算方面利用計算機進行一些簡單的賬務處理并生成報表，在授權審批、預算管理、經濟活動分析、績效考評等方面的內部控制活動均未實行信息化管理。在執行審批過程中，仍由純手工完成，工作效率不高；尤其是在預算管理、績效考評方面，預算數據由個別人拍腦門決定，公司內部員工間關系好壞決定著績效考評分數的高低；內部控制活動人為主觀因素決策性較多。

4.激勵約束機制不健全，內部控制實施好壞一個樣

在已執行《企業內部控制基本規范》及配套指引的企業中，存在未建立內部控制激勵約束機制，內部控制制度執行的好與壞、到位與否都是一樣的；員工無任何獎勵，也無任何處罰。反而是一部分嚴格按照公司內控制度辦事的人，在別人眼中認為是另類的、刻板的、教條主義、不會變通；不僅得罪了其他同事，而且工作多年也未有職級上的晉升。長此以往，員工心理失衡，失去工作積極性，最終內部控制的實施又變成一紙空文。

5.內部監督不足，內部控制自評價與審計流于形式

內部監督在內部控制體系中具有十分重要的地位，是內部控制有效實施的保障。但是，在已經設立內部審計的一些企業中，由于內部審計人員缺少應有的獨立性和專業勝任能力，導致企業的內部監督檢查力度不夠，內部監督流于形式，所開展的內部控制自我評價與內控審計未能發現重大和重要缺陷。直至外部監管機構對企業進行檢查時，才東窗事發，事態百出，最終受到應有的處罰。

四、企業內部控制的應對措施

針對上述企業內部控制所存在的不足之處，提出如下應對措施，以增強內控管理水平，促進企業健康、可持續的向前發展。

1.提高思想認識，培養全員參與的企業內控管理文化

要形成企業特有的內控管理文化并不是一朝一夕的事情，需要企業全員參與學內控、講內控，并通過職業道德規范的宣貫逐步提高思想認識。一是在公司全體員工中，樹立良好的誠信與道德價值觀，建立高層管理人員和員工職業道德規范，并要求嚴格執行；若出現有違反職業道德規范的行為時，除依照國家法律法規進行處理外，可根據企業相關文件規定對其進行處分直至解除勞動合同。二是開展全員參與內控管理的培訓，要求全體員工積極參加公司內外部組織的有關內控基礎知識、內控管理經驗等培訓講座，在公司內逐漸形成“人人學內控、人人講內控、個個受約束”的良好文化氛圍。

2.加強風險評估，建立有效的風險評估機制

風險無處不在，只要是企業就會有可能產生風險，風險評估更是實施內部控制的重要環節。因此，企業應結合自身實際情況，適時建立健全風險管理組織體系和評估機制，加強風險評估工作。一是在董事會下設立風險管理委員會，并選取具有風險、法律等綜合專業知識和經驗的董事作為委員會的成員。二是成立專門的風險管理部門，由專人按照風險評估程序，嚴格、規范的開展風險評估工作，以準確發現風險點，并提出切實可行的應對策略，將企業內控活動中的風險控制在可承受度之內。

3.建立信息系統，將內部控制流程與信息系統有機結合

企業應當充分利用現代管理手段，建立與企業的經營規模、行業特點相匹配的信息化系統，將內部控制流程與信息系統有機融合，減少和消除人為操縱因素。一是企業可以聘請中介服務機構進行信息系統的開發、運行和維護等工作，并定期對信息系統進行評估，發現異常情況，應當及時報告并加以改進；二是指定公司內部專門機構對信息系統建設實施歸口管理，通過梳理公司審批流程及人員權限設置，將內控體系管控措施嵌入各類業務信息系統，確保自動識別和越權等行為，促使企業經營管理決策和執行活動可控可查。

4.健全激勵約束機制，將內部控制實施成果納入績效考核體系

建立內控激勵約束機制，并納入年度績效考評，可以促進內部控制的有效實施。一是強化制度執行力的考核，按照各部門、各單位以及具體到每位員工對內控制度的執行情況，均進行強化考核，并根據考核結果形成獎罰分明的激勵機制。二是結合企業自身實際業務情況，設計定性與定量相結合的考核指標體系，對內部控制的建立與執行情況進行考核。

5.增強內部監督，切實有效開展內部控制自評價與審計工作

良好、有效的內部監督，可以發現內部控制缺陷，并及時加以改進，從而促進企業內部控制健全、合理。企業增強內部監督，一是設立獨立的內審部門并配備專職的、具有工作能力的人員，從日常監督和專項監督兩方面，形成合力，充分發揮內審部門的監督作用。二是根據《企業內部控制評價指引》和《企業內部控制審計指引》，結合企業自身情況，切實有效開展內部控制自評價和內部控制審計工作，以便及時發現重大和重要缺陷，并提出整改措施進行整改，從而防止企業產生經營風險。

五、結語

企業內部控制在我國還屬于新生事物，由于現代企業的多樣性、復雜性和內部控制固有的局限性，企業內部控制的理論研究和實踐發展仍然任重而道遠。因此，每個企業要不斷在實踐中創新內控管理并進行經驗總結，以切實提高防御經營風險的能力，從而促進企業健康、全面和可持續發展。